Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

non funziona ssh dall'interno

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
quatoto



Registrato: 17/06/09 12:34
Messaggi: 63

MessaggioInviato: Mer Giu 17, 2009 1:13 pm    Oggetto: non funziona ssh dall'interno Rispondi citando

Salve a tutti,
sono un utente appassionatissimo di ZeroShell e cerco di proporlo ovunque io possa. Leggendo del progetto, tempo fa, non mi sembrava possibile che una persona (il mitico Fulvio) si potesse prendere la "briga" di mettere in piedi un progetto del genere, ovviamente grazie anche alla community che collabora e contribuisce con documentazione e partecipa attivamente al forum.
Ok, dopo i dovuti ringraziamenti e apprezzamenti devo, purtroppo, passare al problema.
Ho installato ZS Release 1.0.beta12 su Compact Flash su una Alix con 3 porte ethernet. L'esigenza reale è ottenere il failover della connessione Internet.
- Sulla ETH00 ho il provider principale (60Mb/6Mb) con un piccolo router Cisco configurato in bridge che passa all'interfaccia ETH00 direttamente l'IP pubblico;
- sulla ETH01 ho il provider di backup (4Mb/1Mb) con un device configurato da modem e poi ho creato l'interfaccia ppp0 (PPPoE: ETH01) per il collegamento verso questo provider;
- sulla ETH02 c'è la rete interna con indirizzo 10.0.0.1;
- ho configurato il NAT in modo che sia l'interfaccia ETH00 che ppp0 siano nattate;
- ho configurato il Virtual Server per alcuni servizi da raggiungere dall'esterno;
- ho configurato il dhcp;
- NON ho toccato il firewall che è quindi configurato come di default.
Funziona tutto ! Ovvero lo scopo è stato raggiunto e mi sembra molto stabile... ma non riesco dall'interno della rete a collegarmi in SSH verso macchine esterne. Inoltre, a questo punto, provando dell'altro mi sono reso conto che anche un servizio che comunica sulla porta 53 (aggiorna un DNS) con una macchina esterna non funziona.
Mentre provando a fare ssh dalla shell (via console) su ZS funziona correttamente !
Innanzituttto chiedo scusa per il post lungo, ma ritenevo opportuno descrivere il più possibile la configurazione, e poi Sad avrei proprio bisogno di un aiuto ...
Grazie a tutti in anticipo.
Claudio
Top
Profilo Invia messaggio privato
fabietto



Registrato: 24/02/08 15:57
Messaggi: 31

MessaggioInviato: Mer Giu 17, 2009 5:03 pm    Oggetto: Rispondi citando

ciao ma ai attivato il servizio ssh su entrambi le interfacce ??
ciao fabio
Top
Profilo Invia messaggio privato Invia e-mail
quatoto



Registrato: 17/06/09 12:34
Messaggi: 63

MessaggioInviato: Mer Giu 17, 2009 5:46 pm    Oggetto: Rispondi citando

Ciao Fabietto e grazie per l'attenzione,
cosa intendi per attivare il servizio ?
In teoria, se non configuro il firewall, tutto il traffico verso l'esterno dovrebbe essere permesso.
Ho provato http, https, ftp e ntp e tutto funziona correttamente, per ora mi sono reso conto che solo i servizi sulle porte 22 e 53 non escono. Non so se qualche altro servizio non funziona non avendone necessità in questo momento.
Ripeto, però, che se tento di collegarmi ad un server esterno in SSH dalla console di ZS, il tutto funziona !
Grazie ancora
Claudio
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Mer Giu 17, 2009 10:21 pm    Oggetto: Rispondi citando

Il firewall per l'ssh utilizza una catena (SYS_SSH) per gestire le autorizzazione di accesso. Da interfaccia web puoi vedere solo INPUT OUTPUT E FORWARD. Per risolvere il problema dovrebbe bastare inserire nella maschera di attivazione dell'SSH la classe 10.0.0.0/24 (/16 o /8 a seconda della classe).

Per la porta 53 potresti avere dei problemi con il captive portal attivo e il servizio dns non elencato tra i free services.

Ciao.
Top
Profilo Invia messaggio privato
quatoto



Registrato: 17/06/09 12:34
Messaggi: 63

MessaggioInviato: Mer Giu 17, 2009 11:32 pm    Oggetto: Rispondi citando

Ciao giancagianca e grazie anche a te per l'attenzione,
perdonami ma cosa intendi per "...inserire nella maschera di attivazione dell'SSH ..." ?
La maschera SSH nella schermata principale di configurazione "System" ?
Ma il mio problema non è che non riesco ad accedere a ZeroShell in SSH, ma che non riesco ad "oltrepassarlo" per gestire altri server via SSH al di fuori della mia rete.
Mi scuso se ho capito male la tua risposta ma probabilmente mi sono spiegato male nel post iniziale.
Per quanto riguarda il captive portal, è disattivato.
Grazie ancora.
Saluti
Claudio
Top
Profilo Invia messaggio privato
quatoto



Registrato: 17/06/09 12:34
Messaggi: 63

MessaggioInviato: Gio Giu 18, 2009 3:23 am    Oggetto: Rispondi citando

Ciao a tutti,
allora ho risolta una parte. Sono partito a fare troubleshooting: ho backuppato il profilo che avevo configurato e ne ho creato uno nuovo. Ho iniziato a configurare passo passo la parte di network, il nat, il dhcp, l'accesso ssh e https a ZeroShell, i virtual server ed il netbalancer.
Ad ogni passo facevo i tentativi di collegarmi via ssh ad un mio server esterno alla rete. Ha sempre funzionato fino alla configurazione dei Virtual Server ! L'errore era banale, ma con il prosciutto d'avanti agli occhi era difficile vederlo !
Avevo creato una regola per raggiungere dall'esterno via SSH una macchina interna alla rete, lasciando l'interfaccia di default, quindi ANY !!! Di conseguenza anche le richieste SSH dall'interno della rete (ETH02) venivano rigirate alla macchina interna !
Ho modificato la regola e risolto. Questo non spiega il perché il servizio sulla 53 non funziona. Adesso non ho modo di provare, sarà per domani mattina.
Aggiornerò comunque il forum, magari tornerà utile a qualcun altro.
Saluti a tutti
Claudio
Top
Profilo Invia messaggio privato
fabietto



Registrato: 24/02/08 15:57
Messaggi: 31

MessaggioInviato: Gio Giu 18, 2009 5:49 am    Oggetto: Rispondi citando

Facci sapere
caio
Top
Profilo Invia messaggio privato Invia e-mail
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Giu 18, 2009 9:36 am    Oggetto: Rispondi citando

Se analizzi le catene del firewall vedrai che la catena INPUT per l'ssh richiama SYS_SSH.

SYS_SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Quindi tutto il traffico diretto alla porta 22 viene analizzato da questa catena.

In SYS_SSH sono in accept gli ip che hai specificato nella maschera ssh (in configurazione).
SYS_SSH termina con un drop

L'elenco IP che inserisci nella maschera attiva quindi sia l'accesso ssh alla macchina ZS sia l'accesso a risorse esterne via ssh.

Questo ad esempio è la catena nella mia configurazione.

Chain SYS_SSH (1 references)
target prot opt in out source destination
ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- * * 10.1.115.0/24 0.0.0.0/0
ACCEPT all -- * * 192.168.0.0/16 0.0.0.0/0
ACCEPT all -- * * xx.xxx.xxx.xx 0.0.0.0/0
ACCEPT all -- * * xx.xxx.xxx.xxx 0.0.0.0/0
DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Ciao
Top
Profilo Invia messaggio privato
quatoto



Registrato: 17/06/09 12:34
Messaggi: 63

MessaggioInviato: Ven Giu 19, 2009 10:02 am    Oggetto: Rispondi citando

Ciao Giancarlo,
nonostante io abbia risolto per un mio errore banale, la tua spiegazione è preziosa per farmi rendere conto di come funziona il firewall, dove io purtroppo non sono un granchè forte, anzi ...

Con questo post vorrei anche dare il mio feedback al forum sul problema che ho riscontrato, in modo da chiudere questo thread come RISOLTO Smile

Il problema della porta 53 non era dovuto ad una errata configurazione di ZeroShell da parte mia (almeno questo Smile ma si è scoperto che il provider blocca questa porta per motivi non ben chiari.

Adesso però nasce per me un nuovo problema sulla creazione di una regola del firewall per il traffico in uscita dalla 53. In pratica devo dirottare il tutto sulla 5353. Ma apro un altro thread.

Riassunto:
porta 22 -> "Avevo creato una regola per raggiungere dall'esterno via SSH una macchina interna alla rete, lasciando l'interfaccia di default, quindi ANY !!!"

porta 53 -> porta chiusa dal provider

Grazie a tutti

Claudio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it